지침  ·  2026-07-05

OWASP Agentic Skills Top 10 — AI 에이전트 '스킬'을 위한 새로운 위험 분류 체계(AST01–AST10)

지침Medium 영향도Global
OWASP는 AI 에이전트 '스킬'(Claude/ClawHub SKILL.md 패키지와 같은 설치 가능한 기능 모듈)에 특정한 10가지 보안 위험을 분류하는 새 프로젝트 페이지 'Agentic Skills Top 10'을 개설했습니다. AST01 Malicious Skills, AST02 Supply Chain Compromise, AST03 Over-Privileged Skills, AST04 Insecure Metadata, AST05 Untrusted External Instructions, AST07 Update Drift를 포함합니다. 페이지 내용은 '마지막 업데이트: 2026년 6월'로 표시되며, 제3자 벤더(예: Fortinet의 FortiCNAPP Code Security)는 이미 2026년 7월 초 기준으로 분류 체계에 탐지 규칙을 맵핑하고 있어 최근/활발한 발행을 나타냅니다.
에이전트 '스킬'(낮은 발행 장벽과 기본적으로 코드 서명/샌드박싱이 없는 마크다운 정의 기능 패키지)은 에이전트형 AI를 위한 새로운이고 대부분 통제되지 않는 공급망 벡터입니다. 전용 OWASP 분류 체계는 보안 팀 및 도구 벤더에게 광범위한 OWASP Top 10 for Agentic Applications과 구별되는 이 공격 표면에 특정한 스캔, 검토, 사건 분류를 위한 공유 참고 자료를 제공합니다.
에이전트 '스킬'을 구축하거나 사용하는 AI/에이전트 보안 팀(예: Claude Skills, ClawHub 패키지)은 스킬 검토/스캔 제어를 AST01–AST10에 맵핑해야 하며, 에이전트 공급망 스캔을 제공하는 벤더는 범위 주장을 위해 분류 체계를 추적해야 합니다.
OWASP Foundation — AST02: Supply Chain Compromise (Agentic Skills Top 10)OWASP Foundation — AST05: Untrusted External Instructions (Agentic Skills Top 10)Fortinet Community — The AI Agent Supply Chain Has a Security Problem: Introducing Skills Scanning in FortiCNAPP Code Security
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →